【EU】EDPB、ChatGPTのGDPR遵守状況調査結果公表。正確性等に課題

　EUの欧州データ保護会議（EDPB）のChatGPTタスクフォースは5月24日、EU一般データ保護規則（GDPR）の観点から、米OpenAIが提供する「ChatGPT」を調査した報告書を公表した。

　同タスクフォースは、ChatGPTが、大規模言語モデル（LLM）を活用しており、個人データを含む膨大な量のデータを用いて訓練され、強化されていると指摘。LLMの文脈で個人データを処理する管理者は、GDPRの要求事項を完全遵守するために必要なすべての措置を講じなければならないとしている。

　ChatGPTに関しては、イタリア等の当局がGDPR上の懸念を表明。GDPRには、EU域内に拠点がある場合に、EU加盟国1国のデータ保護機関から承認を得れば、他国の当局からの承認が不要となる制度「ワンストップ・ショップ・メカニズム」が設けられている。しかし2024年2月15日までにOpenAIにはEU域内に拠点がなく、「ワンストップ・ショップ・メカニズム」の適用ができないため、各加盟国当局は2023年4月13日、各々のGDPR解釈を協調させるためのタスクフォースを設置していた。

　ChatGPTは、2023年2月15日にEU域内に拠点を設置し、「ワンストップ・ショップ・メカニズム」が適用されているが、同タスクフォースは、2023年2月15日までの同社の運用状況を調査することを対象に、活動を継続している。

　今回の調査では、ChatGPTが、インターネット上のウェブサイト等から、特定の情報を自動的に収集・抽出し、ChatGPTの訓練目的に使用する「ウェブスクレイピング」において、個人データも同時に収集していると指摘。ウェブサイトに公表しているとしても、個人データを「公にしている」と常にみなすことはできず、データ収集前のフィルタリングや、データ収集後の処理を施す必要があるとの見解を示した。

　また、ChatGPTのプロンプト入力についても、個人データを含むものがあり、ユーザーに対し、入力したデータが、訓練目的で使用される可能性があることを、明確かつ実証的に通知しなければならないとした。この義務は、利用規約で「個人データの入力を禁止する」という条項を入れていたとしても、免れることはできないとした。

　加えて、個人データを用いて訓練したアルゴリズムにより、個人データに関する情報を誤った形で出力する可能性についても、「データの正確性の原則は遵守されなければならない」と言及した。

【参照ページ】Report of the work undertaken by the ChatGPT Taskforce

株式会社ニューラル サステナビリティ研究所